Aller au contenu principal

Pour démarrer

Méthodes d'authentification

Vous avez besoin d'un compte investisseur pour accéder à cette API. Vous pouvez ouvrir votre compte Spiko en quelques minutes sur notre site web. L'API investisseur Spiko prend en charge deux méthodes d'authentification :

  • Clé API : Cette méthode convient aux outils internes et aux intégrations directes. Idéale pour les applications côté serveur et les processus automatisés où vous avez un contrôle total sur l'intégration.
  • OAuth 2.0 : C'est la méthode préférée pour les intégrations tierces avec Spiko pour les fintechs, les entreprises SaaS, les fournisseurs d'automatisation, etc. Recommandée pour les scénarios où les utilisateurs finaux doivent autoriser l'accès à leurs données.

Les deux méthodes d'authentification donnent un accès complet à tous les points d'accès de l'API investisseur, mais OAuth 2.0 offre des avantages de sécurité supplémentaires pour les intégrations tierces grâce à l'accès limité et aux jetons révocables.

Clé API

Créer un client API

Rendez-vous sur la page des intégrations de l'application investisseur (vous devez être connecté). Vous pourrez créer des clés API et obtenir votre client_id et client_secret. Assurez-vous de les stocker en toute sécurité, vous ne pourrez plus voir le client_secret après sa génération.

Faire des appels

Notre API utilise l'authentification Basic avec client_id comme nom d'utilisateur et client_secret comme mot de passe.

Voici un exemple utilisant curl :

curl -X GET https://investor-api.spiko.finance/v1/investors/ \
  -u "client_id:client_secret"

Application Tierce via OAuth2

Créer un client API

L'API Investisseur Spiko utilise le protocole OAuth 2.0 pour l'authentification et l'autorisation avec la méthode du code d'autorisation pour les applications tierces.

info

Vous n'avez pas de credentials client API Investisseur ? Contactez-nous à contact@spiko.io.

Envoyer des appels API avec le flux d'authentification OAuth2

Vous pouvez lancer le flux d'authentification OAuth2 en redirigeant vers l'URL suivante :

https://investor-auth.spiko.finance/oauth2/auth?client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&response_type=code&scope=offline&state=STATE

#### STATE doit être une chaîne aléatoire de plus de 8 caractères

Avec le code que vous avez récupéré, vous pouvez obtenir un accessToken et un refreshToken avec une requête POST sur cette URL :

curl -X POST \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -H "Authorization: Basic ENCODE_BASE_64(CLIENT_ID:CLIENT_SECRET)" \
  -d "grant_type=authorization_code&code=CODE&redirect_uri=REDIRECT_URI" \
  https://investor-auth.spiko.finance/oauth2/token

Avec le refreshToken que vous avez récupéré, vous pouvez rafraîchir l'accessToken avec une requête POST sur cette URL :

curl -X POST \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -H "Authorization: Basic ENCODE_BASE_64(CLIENT_ID:CLIENT_SECRET)" \
  -d "grant_type=refresh_token&refresh_token=REFRESH_TOKEN&redirect_uri=REDIRECT_URI" \
  https://investor-auth.spiko.finance/oauth2/token

Toutes les routes de l'API doivent être appelées avec l'en-tête d'autorisation bearer approprié. Voici un exemple utilisant curl :

curl -X GET \
  -H 'Authorization: Bearer ACCESS_TOKEN' \
  https://investor-api.spiko.finance/v1/investors/